Kaspersky menemukan bahwa dua insiden APT yang membidik entitas terkait penelitian COVID-19 berkaitan dengan kelompok Lazarus.
Pandemi belum mereda dan langkah pembatasan dilakukan di seluruh dunia. Banyak pihak berusaha mempercepat pengembangan vaksin dengan berbagai cara yang mungkin. Namun di sisi lain, para pelaku kejahatan siber mencoba memanfaatkan ini untuk keuntungan sendiri.
Para ahli Kaspersky menemukan bahwa aktor tersebut mengejar entitas terkait COVID-19 di musim gugur lalu.
Dua insiden teridentifikasi. Yang pertama adalah serangan terhadap badan Kementerian Kesehatan. Dua server Windows di organisasi tersebut telah disusupi dengan malware canggih pada 27 Oktober 2020. Malware yang digunakan diketahui oleh Kaspersky, bernama 'wAgent'.
Analisis menunjukkan bahwa malware wAgent yang digunakan untuk melawan kementerian kesehatan memiliki skema infeksi yang sama dengan malware yang sebelumnya digunakan oleh kelompok Lazarus dalam serangan terhadap bisnis cryptocurrency.
Insiden kedua melibatkan perusahaan farmasi. Menurut telemetri Kaspersky, perusahaan tersebut dibobol pada 25 September 2020. Perusahaan ini sedang mengembangkan vaksin COVID-19 dan juga berwenang untuk memproduksi dan mendistribusikannya.
Kali ini, penyerang menyebarkan malware Bookcode, yang sebelumnya dilaporkan oleh vendor keamanan yang dikaitkan dengan Lazarus, dalam serangan terhadap supply chain melalui perusahaan perangkat lunak Korea Selatan. Peneliti Kaspersky juga menemukan grup Lazarus melakukan spear-phishing atau menyerang situs web secara strategis untuk mengirimkan malware Bookcode di masa lalu.
Baik malware wAgent dan Bookcode, yang digunakan dalam kedua serangan tersebut, memiliki fungsi yang serupa, seperti backdoor berfitur lengkap. Setelah menerapkan muatan akhir, operator perangkat lunak perusak dapat mengontrol mesin korban dengan hampir semua cara apa pun yang mereka inginkan.
“Kedua insiden ini mengungkap ketertarikan kelompok Lazarus pada intelijen terkait COVID-19. Meskipun grup ini sebagian besar dikenal karena aktivitas finansialnya, ini adalah pengingat yang baik bahwa grup tersebut juga dapat mengincar penelitian strategis. Kami percaya bahwa semua entitas yang saat ini terlibat dalam aktivitas seperti penelitian vaksin atau penanganan krisis harus waspada terhadap serangan dunia maya,” komentar Seongsu Park, pakar keamanan di Kaspersky.
Produk Kaspersky mendeteksi malware wAgent sebagai HEUR: Trojan.Win32.Manuscript.gen dan Trojan.Win64.Manuscript.box.
Dan untuk Malware Bookcode sendiri terdeteksi sebagai Trojan.Win64.Manuscript.ce.
Kaspersky merekomendasikan langkah-langkah untuk melindungi perusahaan/organisasi dari intaian kelompok Lazarus. Langkah-langkah itu mulai dari memberi staf pelatihan dasar di bidang kebersihan keamanan siber, memberi tim SOC akses yang lebih luas ke Threat Intelligence, sampai mengadopsi keamanan endpoint maupun deteksi ancaman di jaringan.